Delen via

Meld u aan bij een virtuele Windows-machine in Azure met behulp van Microsoft Entra-id, inclusief wachtwoordloos

  • Artikel

Organisaties kunnen de beveiliging van virtuele Windows-machines (VM's) in Azure verbeteren door te integreren met Microsoft Entra-verificatie. U kunt Microsoft Entra ID nu gebruiken als een basisverificatieplatform voor Remote Desktop Protocol (RDP) in Windows Server 2019 Datacenter edition en hoger, of Windows 10 1809 en hoger. Vervolgens kunt u op rollen gebaseerd toegangsbeheer (RBAC) van Azure centraal beheren en afdwingen en beleidsregels voor voorwaardelijke toegang die toegang tot de VM's toestaan of weigeren.

In dit artikel leest u hoe u een Virtuele Windows-machine maakt en configureert en zich aanmeldt met behulp van verificatie op basis van Microsoft Entra ID.

Er zijn veel beveiligingsvoordelen van het gebruik van verificatie op basis van Microsoft Entra ID om u aan te melden bij Windows-VM's in Azure. Dit zijn onder andere:

  • Gebruik Microsoft Entra-verificatie, inclusief wachtwoordloos om u aan te melden bij Windows-VM's in Azure.

  • Verminder de afhankelijkheid van lokale beheerdersaccounts.

  • Het beleid voor wachtwoordcomplexiteit en levensduur van wachtwoorden dat u configureert voor Microsoft Entra ID, helpt ook bij het beveiligen van Windows-VM's.

  • Met Azure RBAC:

    • Geef op wie zich kan aanmelden bij een virtuele machine als gewone gebruiker of met beheerdersbevoegdheden.
    • Wanneer gebruikers lid worden van uw team of uw team verlaten, kunt u het Azure RBAC-beleid voor de VIRTUELE machine bijwerken om waar nodig toegang te verlenen.
    • Wanneer werknemers uw organisatie verlaten en hun gebruikersaccounts zijn uitgeschakeld of verwijderd uit Microsoft Entra-id, hebben ze geen toegang meer tot uw resources.

  • Configureer beleid voor voorwaardelijke toegang voor 'phishingbestendige MFA' met behulp van verificatiesterktebeheer vereisen of meervoudige verificatie en andere signalen vereisen, zoals aanmeldingsrisico's van gebruikers, voordat u RDP kunt gebruiken bij Windows-VM's.

  • Gebruik Azure Policy om beleid te implementeren en te controleren om microsoft Entra-aanmelding voor Windows-VM's te vereisen en om het gebruik van niet-goedgekeurde lokale accounts op de VM's te markeren.

  • Gebruik Intune om Microsoft Entra-deelname te automatiseren en te schalen met automatische inschrijving van Azure Windows-VM's die deel uitmaken van uw VDI-implementaties (Virtual Desktop Infrastructure).

    Voor automatische inschrijving voor MDM zijn Microsoft Entra ID P1-licenties vereist. Windows Server-VM's bieden geen ondersteuning voor MDM-inschrijving.

Notitie

Nadat u deze mogelijkheid hebt ingeschakeld, worden uw Windows-VM's in Azure toegevoegd aan Microsoft Entra. U kunt ze niet toevoegen aan een ander domein, zoals on-premises Active Directory of Microsoft Entra Domain Services. Als u dit wilt doen, verbreekt u de verbinding met de VM met Microsoft Entra ID door de extensie te verwijderen.

Eisen

Ondersteunde Azure-regio's en Windows-distributies

Deze functie ondersteunt momenteel de volgende Windows-distributies:

  • Windows Server 2019 Datacenter en hoger
  • Windows 10 1809 en hoger
  • Windows 11 21H2 en hoger

Deze functie is nu beschikbaar in de volgende Azure-clouds:

  • Azure Global
  • Azure Government
  • Microsoft Azure beheerd door 21Vianet

Netwerkvereisten

Als u Microsoft Entra-verificatie wilt inschakelen voor uw Windows-VM's in Azure, moet u ervoor zorgen dat de netwerkconfiguratie van uw VM uitgaande toegang toestaat tot de volgende eindpunten via TCP-poort 443.

Azure Global:

  • https://enterpriseregistration.windows.net: voor apparaatregistratie.
  • http://169.254.169.254: Azure Instance Metadata Service-eindpunt.
  • https://login.microsoftonline.com: voor verificatiestromen.
  • https://pas.windows.net: voor Azure RBAC-stromen.

Azure Government:

  • https://enterpriseregistration.microsoftonline.us: voor apparaatregistratie.
  • http://169.254.169.254: Azure Instance Metadata Service-eindpunt.
  • https://login.microsoftonline.us: voor verificatiestromen.
  • https://pasff.usgovcloudapi.net: voor Azure RBAC-stromen.

Microsoft Azure beheerd door 21Vianet:

  • https://enterpriseregistration.partner.microsoftonline.cn: voor apparaatregistratie.
  • http://169.254.169.254: Azure Instance Metadata Service-eindpunt.
  • https://login.chinacloudapi.cn: voor verificatiestromen.
  • https://pas.chinacloudapi.cn: voor Azure RBAC-stromen.

Verificatievereisten

Microsoft Entra-gastaccounts kunnen geen verbinding maken met azure-VM's of met Azure Bastion ingeschakelde VM's via Microsoft Entra-verificatie.

Microsoft Entra-aanmelding inschakelen voor een Windows-VM in Azure

Als u microsoft Entra-aanmelding wilt gebruiken voor een Virtuele Windows-machine in Azure, moet u het volgende doen:

  1. Schakel de microsoft Entra-aanmeldingsoptie voor de virtuele machine in.
  2. Configureer Azure-roltoewijzingen voor gebruikers die gemachtigd zijn om zich aan te melden bij de VIRTUELE machine.

Er zijn twee manieren om microsoft Entra-aanmelding in te schakelen voor uw Windows-VM:

  • Azure Portal, wanneer u een Virtuele Windows-machine maakt.
  • Azure Cloud Shell, wanneer u een Windows-VM maakt of een bestaande Windows-VM gebruikt.

Notitie

Als een apparaatobject met dezelfde displayName als de hostnaam van een virtuele machine waarop een extensie is geïnstalleerd, bestaat, kan de VM geen Microsoft Entra-id koppelen met een duplicatiefout voor hostnamen. Vermijd duplicatie door de hostnaam te wijzigen.

Azure Portal

U kunt microsoft Entra-aanmelding inschakelen voor VM-installatiekopieën in Windows Server 2019 Datacenter of Windows 10 1809 en hoger.

Een Windows Server 2019 Datacenter-VM maken in Azure met microsoft Entra-aanmelding:

  1. Meld u aan bij Azure Portal met behulp van een account dat toegang heeft tot het maken van VM's en selecteer + Een resource maken.

  2. Typ Windows Server in de zoekbalk zoeken in Marketplace.

  3. Selecteer Windows Server en kies vervolgens Windows Server 2019 Datacenter in de vervolgkeuzelijst Een softwareplan selecteren.

  4. Selecteer Maken.

  5. Schakel op het tabblad Beheer het selectievakje Aanmelden met Microsoft Entra ID in de sectie Microsoft Entra-id in.

    Schermopname van het tabblad Beheer op de pagina Azure Portal voor het maken van een virtuele machine.

  6. Zorg ervoor dat door het systeem toegewezen beheerde identiteit in de sectie Identiteit is geselecteerd. Deze actie wordt automatisch uitgevoerd nadat u aanmelding met Microsoft Entra-id hebt ingeschakeld.

  7. Doorloop de rest van de ervaring van het maken van een virtuele machine. U moet een gebruikersnaam en wachtwoord voor de beheerder maken voor de virtuele machine.

Notitie

Als u zich wilt aanmelden bij de virtuele machine met behulp van uw Microsoft Entra-referenties, moet u eerst roltoewijzingen voor de virtuele machine configureren.

Azure Cloud Shell

Azure Cloud Shell is een gratis, interactieve shell die u kunt gebruiken om de stappen in dit artikel uit te voeren. Algemene Azure-hulpprogramma's zijn vooraf geïnstalleerd en geconfigureerd in Cloud Shell voor gebruik met uw account. Selecteer de knop Kopiëren om de code te kopiëren, plak deze in Cloud Shell en selecteer vervolgens de Enter-toets om deze uit te voeren. Er zijn een aantal manieren om Cloud Shell te openen:

  • Selecteer Uitproberen in de rechterbovenhoek van een codeblok.
  • Open Cloud Shell in uw browser.
  • Selecteer de knop Cloud Shell in het menu in de rechterbovenhoek van Azure Portal.

Voor dit artikel moet u Azure CLI versie 2.0.31 of hoger uitvoeren. Voer az --version uit om de versie te vinden. Als u de Azure CLI wilt installeren of upgraden, raadpleegt u het artikel Azure CLI installeren.

  1. Maak een resourcegroep door az group create uit te voeren.
  2. Maak een VIRTUELE machine door az vm create uit te voeren. Gebruik een ondersteunde distributie in een ondersteunde regio.
  3. Installeer de microsoft Entra-aanmeldings-VM-extensie.

In het volgende voorbeeld wordt een virtuele machine met de naam myVM (die wordt gebruikt Win2019Datacenter) geïmplementeerd in een resourcegroep met de naam myResourceGroup, in de southcentralus regio. In dit voorbeeld en de volgende kunt u indien nodig uw eigen resourcegroep en VM-namen opgeven.

az group create --name myResourceGroup --location southcentralus

az vm create \
    --resource-group myResourceGroup \
    --name myVM \
    --image Win2019Datacenter \
    --assign-identity \
    --admin-username azureuser \
    --admin-password yourpassword

Notitie

U moet door het systeem toegewezen beheerde identiteit op uw virtuele machine inschakelen voordat u de microsoft Entra-aanmeldings-VM-extensie installeert. Beheerde identiteiten worden opgeslagen in één Microsoft Entra-tenant en bieden momenteel geen ondersteuning voor scenario's voor meerdere mappen.

Het duurt enkele minuten om de VIRTUELE machine en ondersteunende resources te maken.

Installeer ten slotte de microsoft Entra-extensie voor aanmeldings-VM's om microsoft Entra-aanmelding voor Windows-VM's in te schakelen. VM-extensies zijn kleine toepassingen die configuratie- en automatiseringstaken na de implementatie bieden op virtuele Azure-machines. Gebruik az vm extension set om de AADLoginForWindows-extensie te installeren op de vm met de naam myVM in de myResourceGroup resourcegroep.

U kunt de AADLoginForWindows-extensie installeren op een bestaande vm met Windows Server 2019 of Windows 10 1809 en hoger om deze in te schakelen voor Microsoft Entra-verificatie. In het volgende voorbeeld wordt de Azure CLI gebruikt om de extensie te installeren:

az vm extension set \
    --publisher Microsoft.Azure.ActiveDirectory \
    --name AADLoginForWindows \
    --resource-group myResourceGroup \
    --vm-name myVM

Nadat de extensie op de virtuele machine is geïnstalleerd, provisioningState wordt dit weergegeven Succeeded.

Roltoewijzingen configureren voor de VIRTUELE machine

Nu u de virtuele machine hebt gemaakt, moet u een van de volgende Azure-rollen toewijzen om te bepalen wie zich kan aanmelden bij de virtuele machine. Als u deze rollen wilt toewijzen, moet u de rol Gegevenstoegangsbeheerder voor virtuele machines hebben of een rol die de Microsoft.Authorization/roleAssignments/write actie bevat, zoals de rol Op rollen gebaseerd toegangsbeheerbeheerder . Als u echter een andere rol gebruikt dan De beheerder van gegevenstoegang voor virtuele machines, raden we u aan een voorwaarde toe te voegen om de machtiging voor het maken van roltoewijzingen te verminderen.

  • Aanmelding van de beheerder van virtuele machine: gebruikers die deze rol hebben toegewezen, kunnen zich aanmelden bij een virtuele Azure-machine met beheerdersbevoegdheden.
  • Gebruikersaanmelding voor virtuele machine: gebruikers waaraan deze rol is toegewezen, kunnen zich aanmelden bij een virtuele Azure-machine met normale gebruikersbevoegdheden.

Als u een gebruiker wilt toestaan zich aan te melden bij de virtuele machine via RDP, moet u de beheerdersrol van de virtuele machine of de gebruikersaanmelding van de virtuele machine toewijzen aan de virtuele-machineresource.

Notitie

Het handmatig verhogen van een gebruiker om een lokale beheerder op de VIRTUELE machine te worden door de gebruiker toe te voegen aan een lid van de lokale beheerdersgroep of door de opdracht uit te voeren net localgroup administrators /add "AzureAD\UserUpn" , wordt niet ondersteund. U moet azure-rollen hierboven gebruiken om vm-aanmelding te autoriseren.

Een Azure-gebruiker waaraan de rol Eigenaar of Inzender voor een VIRTUELE machine is toegewezen, heeft niet automatisch bevoegdheden om zich via RDP aan te melden bij de virtuele machine. De reden hiervoor is om gecontroleerde scheiding te bieden tussen de set personen die virtuele machines beheren en de set personen die toegang hebben tot virtuele machines.

Er zijn twee manieren om roltoewijzingen voor een VIRTUELE machine te configureren:

  • Ervaring in het Microsoft Entra-beheercentrum
  • Azure Cloud Shell-ervaring

Notitie

De aanmeldingsrollen van de beheerder van de virtuele machine en de gebruikersaanmeldingsrollen dataActionsvan de virtuele machine worden gebruikt, zodat ze niet kunnen worden toegewezen binnen het bereik van de beheergroep. Op dit moment kunt u deze rollen alleen toewijzen aan het abonnement, de resourcegroep of het resourcebereik.

Microsoft Entra-beheercentrum

Roltoewijzingen configureren voor uw Windows Server 2019 Datacenter-VM's met Microsoft Entra ID:

  1. Selecteer voor resourcegroep de resourcegroep die de virtuele machine en het bijbehorende virtuele netwerk, de netwerkinterface, het openbare IP-adres of de load balancer-resource bevat.

  2. Selecteer Toegangsbeheer (IAM).

  3. Selecteer Roltoewijzing toevoegen>om de pagina Roltoewijzing toevoegen te openen.

  4. Wijs de volgende rol toe. Zie Azure-rollen toewijzen met behulp van Azure Portal voor gedetailleerde stappen.

    Montuur Waarde
    Rol Aanmelding van de beheerder van de virtuele machine of de aanmelding van de gebruiker van de virtuele machine
    Toegang toewijzen aan Gebruiker, groep, service-principal of beheerde identiteit

    Schermopname van de pagina voor het toevoegen van een roltoewijzing.

Azure Cloud Shell

In het volgende voorbeeld wordt az role assignment create gebruikt om de aanmeldingsrol Virtual Machine Administrator toe te wijzen aan de VM voor uw huidige Azure-gebruiker. U verkrijgt de gebruikersnaam van uw huidige Azure-account met behulp van az account show en u stelt het bereik in op de vm die u in een vorige stap hebt gemaakt met behulp van az vm show.

U kunt het bereik ook toewijzen op het niveau van een resourcegroep of abonnement. Normale Azure RBAC-overnamemachtigingen zijn van toepassing.

$username=$(az account show --query user.name --output tsv)
$rg=$(az group show --resource-group myResourceGroup --query id -o tsv)

az role assignment create \
    --role "Virtual Machine Administrator Login" \
    --assignee $username \
    --scope $rg

Notitie

Als uw Microsoft Entra-domein en aanmeldingsgebruikersnaamdomein niet overeenkomen, moet u de object-id van uw gebruikersaccount opgeven met behulp --assignee-object-idvan, niet alleen de gebruikersnaam voor --assignee. U kunt de object-id voor uw gebruikersaccount verkrijgen met behulp van az ad user list.

Zie de volgende artikelen voor meer informatie over het gebruik van Azure RBAC voor het beheren van de toegang tot uw Azure-abonnementsresources:

Meld u aan met behulp van Microsoft Entra-referenties voor een Windows-VM

U kunt zich aanmelden via RDP met een van de volgende twee methoden:

  1. Wachtwoordloos met een van de ondersteunde Microsoft Entra-referenties (aanbevolen)
  2. Wachtwoord/beperkt wachtwoordloos met behulp van Windows Hello voor Bedrijven geïmplementeerd met het certificaatvertrouwensmodel

Aanmelden met verificatie zonder wachtwoord met Microsoft Entra-id

Als u verificatie zonder wachtwoord wilt gebruiken voor uw Windows-VM's in Azure, hebt u de Windows-clientcomputer en de sessiehost (VM) op de volgende besturingssystemen nodig:

Belangrijk

De Windows-clientcomputer moet zijn geregistreerd bij Microsoft Entra of lid zijn van Microsoft Entra of hybride Microsoft Entra-gekoppeld aan dezelfde map als de virtuele machine. Daarnaast moeten gebruikers voor RDP met behulp van Microsoft Entra-referenties behoren tot een van de twee Azure-rollen, aanmelding van de beheerder van de virtuele machine of gebruikersaanmelding van virtuele machines. Deze vereiste bestaat niet voor aanmelding zonder wachtwoord.

Verbinding maken met de externe computer:

  • Start Verbinding met extern bureaublad vanuit Windows Search of door deze uit te voeren mstsc.exe.
  • Selecteer Een webaccount gebruiken om u aan te melden bij de optie externe computer op het tabblad Geavanceerd . Deze optie is gelijk aan de enablerdsaadauth RDP-eigenschap. Zie Ondersteunde RDP-eigenschappen met Extern bureaublad-services voor meer informatie.
  • Geef de naam van de externe computer op en selecteer Verbinding maken.

Notitie

Het IP-adres kan niet worden gebruikt wanneer u een webaccount gebruikt om u aan te melden bij de optie externe computer . De naam moet overeenkomen met de hostnaam van het externe apparaat in Microsoft Entra-id en moet adresseerbaar zijn voor het netwerk, waarbij wordt omgezet in het IP-adres van het externe apparaat.

  • Wanneer u om referenties wordt gevraagd, geeft u uw gebruikersnaam op in user@domain.com de notatie.
  • U wordt vervolgens gevraagd om de verbinding met het externe bureaublad toe te staan wanneer u verbinding maakt met een nieuwe pc. Microsoft Entra onthoudt maximaal 30 dagen lang 15 hosts voordat u hierom wordt gevraagd. Als u dit dialoogvenster ziet, selecteert u Ja om verbinding te maken.

Belangrijk

Als uw organisatie voorwaardelijke toegang van Microsoft Entra heeft geconfigureerd en gebruikt, moet uw apparaat voldoen aan de vereisten voor voorwaardelijke toegang om verbinding met de externe computer toe te staan. Beleid voor voorwaardelijke toegang kan worden toegepast op de toepassing Microsoft Extern bureaublad (a4a365df-50f1-4397-bc59-1a1564b8bb9c) voor gecontroleerde toegang.

Notitie

Het Windows-vergrendelingsscherm in de externe sessie biedt geen ondersteuning voor Microsoft Entra-verificatietokens of verificatiemethoden zonder wachtwoord, zoals FIDO-sleutels. Het gebrek aan ondersteuning voor deze verificatiemethoden betekent dat gebruikers hun schermen niet kunnen ontgrendelen in een externe sessie. Wanneer u een externe sessie probeert te vergrendelen, hetzij via gebruikersactie of systeembeleid, wordt de verbinding met de sessie verbroken en verzendt de service een bericht naar de gebruiker waarin wordt uitgelegd dat de verbinding is verbroken. Als u de sessie verbreekt, zorgt u er ook voor dat wanneer de verbinding opnieuw wordt gestart na een periode van inactiviteit, microsoft Entra-id het toepasselijke beleid voor voorwaardelijke toegang opnieuw evalueert.

Aanmelden met wachtwoord/beperkte verificatie zonder wachtwoord met Microsoft Entra-id

Belangrijk

Externe verbinding met VM's die zijn gekoppeld aan Microsoft Entra-id is alleen toegestaan vanaf pc's met Windows 10 of hoger die zijn geregistreerd bij Microsoft Entra (minimaal vereiste build is 20H1) of Microsoft Entra-gekoppeld of hybride Microsoft Entra-gekoppeld aan dezelfde map als de virtuele machine. Daarnaast moeten gebruikers voor RDP met behulp van Microsoft Entra-referenties behoren tot een van de twee Azure-rollen, aanmelding van de beheerder van de virtuele machine of gebruikersaanmelding van virtuele machines.

Als u een bij Microsoft Entra geregistreerde Pc met Windows 10 of hoger gebruikt, moet u referenties invoeren in de AzureAD\UPN indeling (bijvoorbeeld AzureAD\john@contoso.com). Op dit moment kunt u Azure Bastion gebruiken om u aan te melden met Microsoft Entra-verificatie via de Azure CLI en de systeemeigen RDP-client mstsc.

Als u zich wilt aanmelden bij uw virtuele Windows Server 2019-machine met behulp van Microsoft Entra-id:

  1. Ga naar de overzichtspagina van de virtuele machine die is ingeschakeld met Microsoft Entra-aanmelding.
  2. Selecteer Verbinding maken om het deelvenster Verbinding maken met virtuele machine te openen.
  3. Selecteer RDP-bestand downloaden.
  4. Selecteer Openen om de client verbinding met extern bureaublad te openen.
  5. Selecteer Verbinding maken om het windows-aanmeldingsdialoogvenster te openen.
  6. Meld u aan met uw Microsoft Entra-referenties.

U bent nu aangemeld bij de virtuele Machine van Windows Server 2019 van Azure met de rolmachtigingen die zijn toegewezen, zoals VM-gebruiker of VM-beheerder.

Notitie

U kunt de . RDP-bestand lokaal op uw computer om toekomstige verbindingen met extern bureaublad met uw virtuele machine te starten, in plaats van naar de overzichtspagina van de virtuele machine in Azure Portal te gaan en de verbindingsoptie te gebruiken.

Beleid voor voorwaardelijke toegang afdwingen

U kunt beleid voor voorwaardelijke toegang afdwingen, zoals 'phishingbestendige MFA' met behulp van verificatiesterktebeheer of meervoudige verificatie of controle van aanmeldingsrisico's van gebruikers, voordat u toegang verleent tot Windows-VM's in Azure die zijn ingeschakeld met Microsoft Entra-aanmelding. Als u beleid voor voorwaardelijke toegang wilt toepassen, moet u de aanmeldings-app voor Microsoft Azure Windows Virtual Machine selecteren in de cloud-apps of de toewijzingsoptie acties. Gebruik vervolgens aanmeldingsrisico's als een voorwaarde of 'phishingbestendig MFA' met behulp van verificatiesterktebeheer vereisen of MFA vereisen als een besturingselement voor het verlenen van toegang.

Notitie

Als u MFA als besturingselement nodig hebt voor het verlenen van toegang tot de microsoft Azure Windows Virtual Machine-aanmeldings-app, moet u een MFA-claim opgeven als onderdeel van de client waarmee de RDP-sessie wordt gestart naar de doel-Windows-VM in Azure. Dit kan worden bereikt met behulp van verificatiemethode zonder wachtwoord voor RDP die voldoet aan het beleid voor voorwaardelijke toegang, maar als u een beperkte methode zonder wachtwoord gebruikt voor RDP, is de enige manier om dit te bereiken op een Windows 10- of hoger-client een Windows Hello voor Bedrijven pincode of biometrische verificatie met de RDP-client. Ondersteuning voor biometrische verificatie is toegevoegd aan de RDP-client in Windows 10 versie 1809. Extern bureaublad met behulp van Windows Hello voor Bedrijven-verificatie is alleen beschikbaar voor implementaties die gebruikmaken van een certificaatvertrouwensmodel. Het is momenteel niet beschikbaar voor een sleutelvertrouwensmodel.

Azure Policy gebruiken om te voldoen aan standaarden en naleving te beoordelen

Azure Policy gebruiken om het volgende te doen:

  • Zorg ervoor dat Microsoft Entra-aanmelding is ingeschakeld voor uw nieuwe en bestaande virtuele Windows-machines.
  • Evalueer de naleving van uw omgeving op schaal op een nalevingsdashboard.

Met deze mogelijkheid kunt u veel niveaus van afdwinging gebruiken. U kunt nieuwe en bestaande Windows-VM's markeren in uw omgeving waarvoor microsoft Entra-aanmelding niet is ingeschakeld. U kunt Azure Policy ook gebruiken om de Microsoft Entra-extensie te implementeren op nieuwe Windows-VM's waarvoor microsoft Entra-aanmelding niet is ingeschakeld en bestaande Windows-VM's op dezelfde standaard te herstellen.

Naast deze mogelijkheden kunt u Azure Policy gebruiken om Windows-VM's te detecteren en te markeren die niet-goedgekeurde lokale accounts op hun computers hebben gemaakt. Raadpleeg Azure Policy voor meer informatie.

Implementatieproblemen oplossen

De AADLoginForWindows-extensie moet zijn geïnstalleerd voordat de VIRTUELE machine het Microsoft Entra-joinproces kan voltooien. Als de VM-extensie niet correct is geïnstalleerd, voert u de volgende stappen uit:

  1. RDP naar de VIRTUELE machine met behulp van het lokale beheerdersaccount en bekijk het CommandExecution.log bestand onder C:\WindowsAzure\Logs\Plugins\Microsoft.Azure.ActiveDirectory.AADLoginForWindows\1.0.0.1.

    Notitie

    Als de extensie opnieuw wordt opgestart na de eerste fout, wordt het logboek met de implementatiefout opgeslagen als CommandExecution_YYYYMMDDHHMMSSSSS.log.

  2. Open een PowerShell-venster op de virtuele machine. Controleer of de volgende query's worden uitgevoerd op het Azure Instance Metadata Service-eindpunt dat op de Azure-host wordt uitgevoerd, de verwachte uitvoer retourneert:

    Opdracht om uit te voeren Verwachte uitvoer
    curl.exe -H Metadata:true "http://169.254.169.254/metadata/instance?api-version=2017-08-01" Juiste informatie over de Virtuele Azure-machine
    curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/info?api-version=2018-02-01" Geldige tenant-id die is gekoppeld aan het Azure-abonnement
    curl.exe -H Metadata:true "http://169.254.169.254/metadata/identity/oauth2/token?resource=urn:ms-drs:enterpriseregistration.windows.net&api-version=2018-02-01" Geldig toegangstoken dat is uitgegeven door Microsoft Entra ID voor de beheerde identiteit die is toegewezen aan deze VM

    Notitie

    U kunt het toegangstoken decoderen met behulp van een hulpprogramma zoals https://jwt.ms/. Controleer of de oid waarde in het toegangstoken overeenkomt met de beheerde identiteit die is toegewezen aan de VIRTUELE machine.

  3. Zorg ervoor dat de vereiste eindpunten toegankelijk zijn vanaf de VIRTUELE machine via PowerShell:

    • curl.exe https://login.microsoftonline.com/ -D -
    • curl.exe https://login.microsoftonline.com/<TenantID>/ -D -
    • curl.exe https://enterpriseregistration.windows.net/ -D -
    • curl.exe https://device.login.microsoftonline.com/ -D -
    • curl.exe https://pas.windows.net/ -D -

    Notitie

    Vervang door <TenantID> de Tenant-id van Microsoft Entra die is gekoppeld aan het Azure-abonnement. login.microsoftonline.com/<TenantID>, enterpriseregistration.windows.neten pas.windows.net moet 404 Niet gevonden retourneren, wat verwacht gedrag is.

  4. Bekijk de apparaatstatus door uit te voeren dsregcmd /status. Het doel is dat de apparaatstatus wordt weergegeven als AzureAdJoined : YES.

    Notitie

    Microsoft Entra join-activiteit wordt vastgelegd in Logboeken onder het gebruikersapparaatregistratie\beheerlogboek op Logboeken (lokaal)\Logboeken toepassingen en services\Microsoft\Windows\User Device Registration\Admin.

Als de AADLoginForWindows-extensie mislukt met een foutcode, kunt u de volgende stappen uitvoeren.

Terminal-foutcode 1007 en afsluitcode -2145648574.

Terminal-foutcode 1007 en afsluitcode -2145648574 vertalen naar DSREG_E_MSI_TENANTID_UNAVAILABLE. De extensie kan geen query's uitvoeren op de gegevens van de Microsoft Entra-tenant.

Maak verbinding met de VIRTUELE machine als lokale beheerder en controleer of het eindpunt een geldige tenant-id retourneert van de Azure Instance Metadata Service. Voer de volgende opdracht uit vanuit een PowerShell-venster met verhoogde bevoegdheid op de VM:

curl -H Metadata:true http://169.254.169.254/metadata/identity/info?api-version=2018-02-01

Dit probleem kan ook optreden wanneer de VM-beheerder probeert de extensie AADLoginForWindows te installeren, maar een door het systeem toegewezen beheerde identiteit de VM niet eerst heeft ingeschakeld. Ga in dat geval naar het deelvenster Identiteit van de VIRTUELE machine. Controleer op het tabblad Systeem toegewezen of de wisselknop Status is ingesteld op Aan.

Afsluitcode -2145648607

Afsluitcode -2145648607 wordt omgezet in DSREG_AUTOJOIN_DISC_FAILED. De extensie kan het https://enterpriseregistration.windows.net eindpunt niet bereiken.

  1. Controleer of de vereiste eindpunten toegankelijk zijn vanaf de VIRTUELE machine via PowerShell:

    • curl https://login.microsoftonline.com/ -D -
    • curl https://login.microsoftonline.com/<TenantID>/ -D -
    • curl https://enterpriseregistration.windows.net/ -D -
    • curl https://device.login.microsoftonline.com/ -D -
    • curl https://pas.windows.net/ -D -

    Notitie

    Vervang door <TenantID> de Tenant-id van Microsoft Entra die is gekoppeld aan het Azure-abonnement. Als u de tenant-id wilt vinden, kunt u de muisaanwijzer op uw accountnaam houden of tenant-id voor identiteitsoverzichtseigenschappen>> selecteren.>

    Pogingen om verbinding te maken, enterpriseregistration.windows.net retourneren mogelijk 404 Niet gevonden, wat verwacht gedrag is. Pogingen om verbinding te maken, vragen mogelijk om pas.windows.net pincodereferenties of retourneren 404 niet gevonden. (U hoeft de pincode niet in te voeren.) Een van beide is voldoende om te controleren of de URL bereikbaar is.

  2. Als een van de opdrachten mislukt met 'Kan host <URL>niet oplossen', voert u deze opdracht uit om te bepalen welke DNS-server de VIRTUELE machine gebruikt:

    nslookup <URL>

    Notitie

    Vervang <URL> door de volledig gekwalificeerde domeinnamen die door de eindpunten worden gebruikt, zoals login.microsoftonline.com.

  3. Kijk of het opgeven van een openbare DNS-server toestaat dat de opdracht slaagt:

    nslookup <URL> 208.67.222.222

  4. Wijzig zo nodig de DNS-server die is toegewezen aan de netwerkbeveiligingsgroep waartoe de Azure-VM behoort.

Afsluitcode 51

Afsluitcode 51 wordt omgezet in 'Deze extensie wordt niet ondersteund op het besturingssysteem van de VIRTUELE machine'.

De extensie AADLoginForWindows is alleen bedoeld voor installatie op Windows Server 2019 of Windows 10 (build 1809 of hoger). Zorg ervoor dat uw versie of build van Windows wordt ondersteund. Als dit niet wordt ondersteund, verwijdert u de extensie.

Aanmeldingsproblemen oplossen

Gebruik de volgende informatie om aanmeldingsproblemen op te lossen.

U kunt de status van het apparaat en eenmalige aanmelding (SSO) bekijken door de opdracht uit te voeren dsregcmd /status. Het doel is om de apparaatstatus weer te geven als AzureAdJoined : YES en voor de SSO-status die moet worden weergegeven AzureAdPrt : YES.

RDP-aanmelding via Microsoft Entra-accounts wordt vastgelegd in Logboeken onder de logboeken toepassingen en services\Microsoft\Windows\AAD\Operationele gebeurtenislogboeken.

Azure-rol niet toegewezen

Mogelijk krijgt u het volgende foutbericht wanneer u een externe bureaubladverbinding met uw VIRTUELE machine initieert: 'Uw account is geconfigureerd om te voorkomen dat u dit apparaat gebruikt. Neem voor meer informatie contact op met uw systeembeheerder."

Schermopname van het bericht dat uw account is geconfigureerd om te voorkomen dat u dit apparaat gebruikt.

Controleer of u Azure RBAC-beleid hebt geconfigureerd voor de VM die de gebruiker de aanmeldingsrol Virtual Machine Administrator of Virtual Machine User Login verleent.

Notitie

Zie Problemen met Azure RBAC oplossen als u problemen ondervindt met Azure-roltoewijzingen.

Niet-geautoriseerde client of wachtwoordwijziging vereist

Mogelijk krijgt u het volgende foutbericht wanneer u een verbinding met een extern bureaublad met uw VIRTUELE machine start: 'Uw referenties werken niet'.

Schermopname van het bericht met de mededeling dat uw referenties niet werken.

Probeer deze oplossingen:

  • De pc met Windows 10 of hoger die u gebruikt om de verbinding met het externe bureaublad te initiëren, moet lid zijn van Microsoft Entra of microsoft Entra hybride gekoppeld aan dezelfde Microsoft Entra-map. Zie het artikel Wat is een apparaat-id? voor meer informatie over apparaat-id's.

    Notitie

    Windows 10 Build 20H1 heeft ondersteuning toegevoegd voor een geregistreerde Microsoft Entra-pc om een RDP-verbinding met uw VIRTUELE machine te initiëren. Wanneer u een pc gebruikt die is geregistreerd bij Microsoft Entra (niet aan Microsoft Entra toegevoegd of aan Microsoft Entra hybrid toegevoegd) als rdp-client om verbindingen met uw VIRTUELE machine te initiëren, moet u referenties invoeren in de indeling AzureAD\UPN (bijvoorbeeld AzureAD\john@contoso.com).

    Controleer of de AADLoginForWindows-extensie niet is verwijderd nadat de Microsoft Entra join is voltooid.

    Zorg er ook voor dat de netwerkbeveiliging van het beveiligingsbeleid : PKU2U-verificatieaanvragen voor deze computer toestaan om online-identiteiten te gebruiken, is ingeschakeld op zowel de server als de client.

  • Controleer of de gebruiker geen tijdelijk wachtwoord heeft. Tijdelijke wachtwoorden kunnen niet worden gebruikt om u aan te melden bij een verbinding met een extern bureaublad.

    Meld u aan met het gebruikersaccount in een webbrowser. Meld u bijvoorbeeld aan bij Azure Portal in een privénavigatievenster. Als u wordt gevraagd het wachtwoord te wijzigen, stelt u een nieuw wachtwoord in. Probeer vervolgens opnieuw verbinding te maken.

Aanmeldingsmethode voor MFA vereist

Mogelijk ziet u het volgende foutbericht wanneer u een verbinding met een extern bureaublad met uw VIRTUELE machine initieert: 'De aanmeldingsmethode die u probeert te gebruiken, is niet toegestaan. Probeer een andere aanmeldingsmethode of neem contact op met uw systeembeheerder.

Schermopname van het bericht met de aanmeldingsmethode die u probeert te gebruiken, is niet toegestaan.

Als u een beleid voor voorwaardelijke toegang hebt geconfigureerd waarvoor MFA of verouderde verificatie per gebruiker is ingeschakeld/afgedwongen voordat u toegang hebt tot de resource, moet u ervoor zorgen dat de Pc met Windows 10 of hoger die de externe bureaubladverbinding met uw VIRTUELE machine start, zich aanmeldt met behulp van een sterke verificatiemethode, zoals Windows Hello. Als u geen sterke verificatiemethode gebruikt voor uw verbinding met extern bureaublad, ziet u de fout.

Een ander MFA-gerelateerd foutbericht is het foutbericht dat eerder is beschreven: 'Uw referenties werken niet'.

Schermopname van het bericht met de mededeling dat uw referenties niet werken.

Als u een verouderde instelling voor meervoudige verificatie van Microsoft Entra per gebruiker hebt geconfigureerd en u de bovenstaande fout ziet, kunt u het probleem oplossen door de MFA-instelling per gebruiker te verwijderen. Zie het artikel Microsoft Entra multifactor authentication per gebruiker inschakelen voor het beveiligen van aanmeldingsgebeurtenissen voor meer informatie.

Als u Windows Hello voor Bedrijven nog niet hebt geïmplementeerd en als dat momenteel geen optie is, kunt u een beleid voor voorwaardelijke toegang configureren dat de microsoft Azure Windows Virtual Machine-aanmeldings-app uitsluit uit de lijst met cloud-apps waarvoor MFA is vereist. Zie Windows Hello voor Bedrijven overzicht voor meer informatie over Windows Hello voor Bedrijven.

Notitie

Windows Hello voor Bedrijven pincodeverificatie met RDP is ondersteund voor verschillende versies van Windows 10. Ondersteuning voor biometrische verificatie met RDP is toegevoegd in Windows 10 versie 1809. Het gebruik van Windows Hello voor Bedrijven-verificatie tijdens RDP is beschikbaar voor implementaties die gebruikmaken van een certificaatvertrouwensmodel of sleutelvertrouwensmodel.

Deel uw feedback over deze functie of meld problemen met het gebruik ervan op het Microsoft Entra-feedbackforum.

Ontbrekende toepassing

Als de microsoft Azure Windows Virtual Machine-aanmeldingstoepassing ontbreekt in voorwaardelijke toegang, controleert u of de toepassing zich in de tenant bevindt:

  1. Meld u als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.
  2. Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>.
  3. Verwijder de filters om alle toepassingen weer te geven en zoek naar vm's. Als u de aanmelding van Microsoft Azure Windows Virtual Machine niet ziet , ontbreekt de service-principal in de tenant.

Fooi

Sommige tenants zien mogelijk de toepassing met de naam Azure Windows VM-aanmelding in plaats van aanmelding bij Microsoft Azure Windows Virtual Machine. De toepassing heeft dezelfde toepassings-id van 372140e0-b3b7-4226-8ef9-d57986796201.

Volgende stappen

Zie Wat is Microsoft Entra-id?voor meer informatie over Microsoft Entra ID.